中间件:
use Closure;
use Illuminate'Foundation'Http'Middleware'VerifyCsrfToken as BaseVerifier;
class VerifyCsrfToken extends BaseVerifier {
public function handle($request, Closure $next)
{
return parent::handle($request, $next);
}
}
Javascript:
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': 'wrong-token-to-test',
'X-XSRF-TOKEN': 'another-wrong-token-to-test',
}
});
刀片:
$.ajax({
method: "POST",
url: "{{url("login/$user")}}",
data: {
"email": $("#email").val(),
"password": CryptoJS.SHA256($('#password').val()).toString(),
"_token": "{{csrf_token()}}"
}
})
即使为csrf令牌使用错误的Http头值('wing-to-test')也不会导致任何令牌不匹配异常。请求处理正常。这是否意味着Laravel没有检查X-CSRF-TOKEN标题?
Laravel首先尝试从get
或post
中名为_token
的参数获取CSRF令牌,如果丢失,则THEN将尝试从X-CSRF-TOKEN
获取。以下是/vendor/laravel/framework/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken
中代码的实现逻辑,方法tokensMatch
:
$token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');
但是您已经有效地将_token
参数(并且具有正确的值)包含在您的ajax文章中:
"_token": "{{csrf_token()}}"
因此,在X-CSRF-TOKEN
标头中发送什么并不重要。